域名
域名只是个逻辑概念,并不代表计算机所在的物理地点
.cn 表示中国
.us 表示美国
.uk 表示英国
域名服务器
- 一个服务所负责管辖的(或有权限的)范围叫做区(zone)。
- 各单位根据具体情况来划分自己管辖范围的区。但在一个区中的所有节点必须是能够连通的。
- 每一个区设置相应的权限域名服务器,用来保存该区中所有主机的域名到IP地址的映射。
- DNS服务器的管辖范围不是以“域”为单位,而是以“区”为单位。
网络安全
类型
-
主动攻击
篡改响应信息、恶意程序植入到目的服务器、
拒绝服务:攻击者向互联网上的某个服务器不停地发送大量分组,使该服务无法提供正常服务,甚至完全瘫痪。 -
被动攻击
指攻击者从网络上窃听他人的通信内容,通常把这类攻击称为截获。在被动攻击总,攻击者只是观察和分析某一个协议数据单元PDU,以便了解所交换的数据的某种性质。但不干扰信息流,这种被动攻击又称为流量分析。
计算机网络通信安全的目标
- 对于主动攻击,可以采取适当措施加以检测
- 对于被动攻击,通常是检测不出来的。
- 目标
防止分析出报文内容和流量分析;
防止恶意程序;
检测更改报文流和拒绝服务 - 对付被动攻击可采用各种数据加密技术
- 对付主动攻击则需将加密技术和适当的鉴别技术相结合
保密性:密码技术
端点鉴别:鉴别信息的发送方和接收方的真实身份
信息的完整性:信息的内容未被篡改过
运行的安全性:访问控制,必须对访问网络的权限加以控制,并规定每个用户的访问权限
两类密码体制
- 对称密钥密码体制
加密密钥与解密密钥是相同的密码体制
数据加密标准DES:是一种分组密码,在加密前,先对整个明文进行分组,每一个组长为64位,然后对每个64位二进制数据进行加密处理,产生一组64位密码数据,最后将各组密文串接起来,即得出整个密文,使用的密钥为64位
三重DES:使用两个56位的密钥,把一个64位明文用一个密钥加密,再用另一个密钥解密,然后再使用第一个密钥加密 - 公钥密码体制
使用不同的加密密钥与解密密钥,加密密钥PK是向公众公开的,而解密密钥SK则是需要保密的。
虽然私钥SK是由公钥PK决定的,但却不能根据PK计算出SK。
数字签名
用于证明真实性
数字签名必须保证以下三点:
- 报文鉴别 - 接受者能够核实发送者对报文的签名
- 报文的完整性 - 发送者事后不能抵赖对报文的签名
基于公钥的数字签名的实现:
因为除A外没有别人能具有A的私钥,所以除A外没有别人能产生这个密文。因此B相信报文 X 是 A 签名发送的。
若 A 要抵赖曾发送报文给 B ,B可将明文对应的密文出示给第三者。第三者很容易用A 的公钥去证实A 确实发送 X 给 B。
反之,若 B 将X伪造成X1,则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。
密码散列函数:一种相对简单的对报文进行鉴别的方法
MD5和SHA-1